De acordo com um novo comunicado recentemente compartilhado pela empresa de segurança Cyfirma com a Infosecurity , as vulnerabilidades descobertas podem ter sido exploradas para atingir quase 1.000 sistemas.
Os ataques observados pela empresa fariam parte de uma campanha que se traduz aproximadamente como “sangrar você” por um ator de ameaça que fala mandarim.
A equipe de pesquisa da Cyfirma também observou hackers desconhecidos compartilhando um link de exploração em fóruns clandestinos, que podem ser usados para atingir sistemas vulneráveis.
“Uma vulnerabilidade crítica foi identificada nas extensões do protocolo IKE do Microsoft Windows”, diz o comunicado.
“Esta vulnerabilidade […] afeta o código desconhecido do componente IKE Protocol Extensions, cuja manipulação leva à execução remota de código (RCE).”
Em particular, Cyfirma escreveu que a vulnerabilidade está no código usado para lidar com o protocolo […] IKEv1, que é obsoleto, mas compatível com sistemas legados.
A empresa também esclareceu que, embora o IKEv2 não seja afetado, a vulnerabilidade afeta todos os servidores Windows porque eles aceitam pacotes V1 e V2, tornando a falha crítica.
“A [prova de conceito] explora um problema de corrupção de memória com o svchost do sistema vulnerável”, diz o artigo técnico.
“A corrupção de memória ocorre quando o Page Heap (um plug-in de depuração) no sistema é ativado para o processo de troca de chaves da Internet. O processo exe que hospeda o serviço de protocolo Internet Key Exchange trava ao tentar ler dados além de um buffer alocado.”
Em termos de atribuição, Cyfirma disse que o ator da ameaça é atualmente desconhecido, mas também que a equipe observou conexões entre a campanha “bleed you” e os cibercriminosos russos.
“Do ponto de vista estratégico sobre a mudança de cenários geopolíticos do gerenciamento do cenário de ameaças externas, observa-se que a Rússia e a China formam um relacionamento estratégico”, escreveu a empresa.
Cyfirma acrescentou que a Microsoft alocou CVE-2022-34721 para o problema e o corrigiu adicionando uma verificação no comprimento dos dados recebidos e ignorando o processamento desses dados se o comprimento for muito pequeno.
IA está comprimindo a janela entre divulgação e exploração a ponto de ficar negativa. A…
Operação NoVoice espalhou-se por mais de 50 apps do Google Play e explorou falhas antigas…
Grupo Inc reivindica ataque contra a prefeitura de Meriden, Connecticut. A cidade desligou serviços e…
A Alemanha expôs o líder ligado a GandCrab/REvil e reforçou o alerta sobre rebrandings no…
BlueHammer é um zero‑day LPE que explora o Windows Defender e eleva um usuário comum…
Drift Protocol suspendeu depósitos e saques após ataque na Solana. Estimativas apontam perdas entre US$…